Jeudi 21 mars, la firme de Mark Zuckerberg, Facebook a publié un communiqué pour annoncer avoir découvert que “certains mots de passe d’utilisateurs étaient stockés dans un format lisible dans nos systèmes de stockage de données interne.”  L’affaire a dans un premier temps été révélée par Brian Kreps, journaliste expert en sécurité.
Le problème a depuis été corrigé, mais Facebook conseille aux utilisateurs de changer leur mot de passe. Une nouvelle faille de sécurité pour la société, qui remet en cause la confidentialité de nos données via la plateforme.

Il y a quelques jours, le co-fondateur de WhatsApp, Brian Acton, à l’initiative du #deletefacebook, incitait des étudiants à supprimer leur compte Facebook. Un timing intéressant. Depuis l’affaire Cambridge Analytica, ayant fortement entaché l’image de l’entreprise, les scandales et faille de sécurité concernant la société sont nombreux. On peut par exemple citer Instagram qui a exposé temporairement les mots de passe des utilisateurs ou encore une enquête criminelle dont la société fait l’objet pour avoir partagé de nombreuses données personnelles à d’autres entreprises.
Pour redorer l’image de son entreprise, Mark Zuckerberg a récemment expliqué une nouvelle orientation vers une messagerie privée, chiffrée et éphémère. Un changement stratégique qui semble mal parti…

Facebook se veut rassurant à sa manière

Dans le communiqué publié, Facebook explique avoir découvert cette faille en janvier 2019, suite à un “examen de sécurité de routine effectué en janvier. » L’ensemble des personnes touchées, à savoir des centaines de millions d’utilisateurs, entre 200 et 600 millions, vont être informées que leur mot de passe a été stockés de cette manière.
Les personnes concernées sont “des centaines de millions d’utilisateurs de Facebook Lite », une version allégée de l’application souvent utilisée dans les pays en développement, mais également “des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram. »
L’entreprise ajoute que les mots de passe “n’ont jamais été visibles par des personnes externes à Facebook et nous n’avons trouvé aucune preuve à ce jour que des personnes en interne en auraient abusé. »

La société en profite pour revenir sur la manière dont elle stocke les mots de passe des utilisateurs. Elle précise “nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles. »
Lorsqu’un utilisateur crée un compte, le réseau social masque le mot de passe afin que personne en interne ne puisse y avoir accès. Il est ensuite transformé en une suite de caractères aléatoires, empêchant quiconque de le lire. Facebook stocke ainsi le mot de passe de manière crypté. L’entreprise termine en listant les moyens dont elle dispose pour détecter une activité suspecte. On peut citer la position géographique d’une personne, les questions de vérification ou encore la réception d’alerte pour des connexions non reconnues.

Pour conclure et rassurer, Facebook conseille aux utilisateurs de Facebook et Instagram de modifier leur mot de passe, avec des mots de passe n’ayant jamais servi.
Alors que la société pourrait recevoir une amende record suite à Cambridge Analytica, l’Europe pourrait examiner de près cette faille de sécurité suite à l’entrée en vigueur en mai dernier du RGPD. Facebook aurait cependant déjà informé la Commission Irlandaise de protection des données.